Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2018-25142
Krytyczne

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

CVE-2018-25135
Krytyczne

Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.

CVE-2018-25134
Krytyczne

Synaccess netBooter NP-02x/NP-08x w wersji 6.8 zawiera podatność na obejście uwierzytelniania w skrypcie webNewAcct.cgi, która pozwala nieautoryzowanym atakującym na tworzenie kont użytkowników z uprawnieniami administratora. Atakujący mogą wykorzystać brak kontroli, wysyłając odpowiednio skonstruowane żądania POST.

CVE-2025-13773
Krytyczne

Wtyczka Print Invoice & Delivery Notes dla WooCommerce w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.8.0 włącznie, przez funkcję 'WooCommerce_Delivery_Notes::update'. Brak weryfikacji uprawnień oraz nieprawidłowe zabezpieczenia w pliku 'template.php' umożliwiają nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2025-68669
Krytyczne

W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.

CVE-2025-66209
Krytyczne

Coolify to narzędzie typu open-source do zarządzania serwerami, aplikacjami i bazami danych. Przed wersją 4.0.0-beta.451 występowała podatność na wstrzyknięcie poleceń w funkcjonalności tworzenia kopii zapasowych baz danych, umożliwiająca użytkownikom z uprawnieniami do zarządzania aplikacjami/serwisami wykonywanie dowolnych poleceń jako root na zarządzanych serwerach.

CVE-2025-15047
Krytyczne

W Tenda WH450 w wersji 1.0.0.18 odkryto podatność, która dotyczy nieznanej funkcji pliku /goform/PPTPDClient w komponencie obsługi żądań HTTP. Manipulacja argumentem Username prowadzi do przepełnienia bufora na stosie.

CVE-2025-14500
Krytyczne

Podatność CVE-2025-14500 w IceWarp14 umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwego przetwarzania nagłówka X-File-Operation, co pozwala na wykonanie systemowego wywołania bez odpowiedniej walidacji.

CVE-2025-14931
Krytyczne

Podatność CVE-2025-14931 w Hugging Face smolagents pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwej walidacji danych dostarczanych przez użytkownika podczas analizy danych pickle.

CVE-2025-67109
Krytyczne

W Eclipse Cyclone DDS przed wersją 0.10.5 stwierdzono nieprawidłową weryfikację certyfikatu czasu, co umożliwia atakującym ominięcie kontroli certyfikatów i wykonanie poleceń z uprawnieniami systemowymi.

CVE-2025-67108
Krytyczne

W bibliotece eProsima Fast-DDS w wersji 3.3 wykryto nieprawidłową walidację unieważniania biletów (ticket revocation), co prowadzi do niebezpiecznej komunikacji i połączeń.

CVE-2025-14388
Krytyczne

Wtyczka PhastPress dla WordPressa jest podatna na nieautoryzowane odczyty plików poprzez wstrzyknięcie bajtu null we wszystkich wersjach do 3.7 włącznie. Problem wynika z niezgodności w walidacji rozszerzeń, co umożliwia atakującym odczyt dowolnych plików z katalogu głównego, w tym wp-config.php.

CVE-2025-68615
Krytyczne

net-snmp to biblioteka aplikacji SNMP, narzędzia i demon. Przed wersjami 5.9.5 i 5.10.pre2, specjalnie skonstruowany pakiet wysłany do demona snmptrapd może spowodować przepełnienie bufora i awarię demona.

CVE-2025-65856
Krytyczne

Podatność w kamerach IP Xiongmai XM530 z oprogramowaniem V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 umożliwia nieuwierzytelnionym atakującym zdalny dostęp do wrażliwych informacji urządzenia oraz strumieni wideo na żywo. Implementacja ONVIF nie wymusza uwierzytelniania na 31 krytycznych punktach końcowych, co pozwala na bezpośredni nieautoryzowany dostęp do strumieni wideo.

CVE-2025-67418
Krytyczne

ClipBucket 5.5.2 zawiera domyślne, zakodowane na stałe dane uwierzytelniające administratora. Niezalogowany atakujący zdalny może zalogować się do panelu administracyjnego, uzyskując pełną kontrolę nad aplikacją.

CVE-2025-67288
Krytyczne

Podatność w Umbraco CMS v16.3.3 umożliwia atakującemu przesłanie spreparowanego pliku PDF, co może prowadzić do wykonania dowolnego kodu. Producent kwestionuje to, wskazując, że walidacja plików leży po stronie administratora systemu, a kod JavaScript w PDF działa w izolowanym sandboxie.

CVE-2025-67289
Krytyczne

Podatność na dowolne przesyłanie plików w module Załączniki Frappe Framework v15.89.0 umożliwia atakującym wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku XML.

CVE-2025-15016
Krytyczne

Baza danych w chmurze przedsiębiorstwa opracowana przez Ragic zawiera podatność na twardo zakodowany klucz kryptograficzny, co pozwala nieautoryzowanym atakującym zdalnie wykorzystać ten stały klucz do generowania informacji weryfikacyjnych i logowania się do systemu jako dowolny użytkownik.

CVE-2025-15006
Krytyczne

Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18. Podatność dotyczy nieznanej funkcjonalności pliku /goform/CheckTools w komponencie obsługi żądań HTTP, co prowadzi do przepełnienia bufora na stosie.

CVE-2025-13619
Krytyczne

Wtyczka Flex Store Users dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.1.0 włącznie. Problem wynika z braku ograniczeń w funkcjach 'fsUserHandle::signup' oraz 'fsSellerRole::add_role_seller', co pozwala nieautoryzowanym atakującym na rejestrację z rolą 'administrator'.

PoprzedniaStrona 202 z 565Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS